Вредонос для macOS распространялся через фальшивый блог Symantec

Вредонос для macOS распространялся через фальшивый блог Symantec

Преступники проэксплуатировали известный брэнд для распространения инфостилера Proton.

Злоумышленники не устают изобретать новые способы распространения вредоносного ПО, не вызывающие подозрения у пользователей. Эксперты компании Malwarebytes обнаружили кампанию, в рамках которой киберпреступники распространяют новую версию вредоноса Proton для macOS через поддельный блог Symantec. Symantecblog[.]com является отличной имитацией ресурса компании и даже содержит контент из оригинального блога, в частности, публикацию о свежей версии трояна CoinThief, предлагающую приложение Symantec Malware Detector, которое в действительности инфицирует компьютеры пользователей вредоносным ПО Proton.

Домен и адрес фальшивого ресурса выглядят как легитимные, однако электронный адрес вызывает подозрения. К тому же, сайт использует SSL-сертификат Comodo, вместо выданного удостоверяющим центром Symantec. Ссылки на блог распространяются как через «левые», так и легитимные аккаунты в Twitter. Как полагают эксперты, организатор компании мог получить доступ к учетным записям с помощью краденных логинов и паролей или обманом вынудить пользователей продвигать ссылки на поддельный ресурс.

При запуске Symantec Malware Detector демонстрирует простой интерфейс с логотипом Symantec и просьбой авторизоваться якобы для проверки системы. Если пользователь закроет окно на данном этапе, инфицирования не произойдет, в противном случае на его компьютер будет установлено вредоносное ПО. Оказавшись на системе, Proton приступает к сбору различных данных, в том числе паролей, персонально идентифицируемой информации, файлов .keychain, данных автозаполнения в браузере, содержимого менеджера 1Password и пр. Собранные сведения сохраняются в скрытой папке.

Специалисты проинформировали Apple о проблеме, и компания уже отозвала сертификат, используемый для цифровой подписи вредоносное программы. Данная мера предотвратит случаи инфицирования через Symantec Malware Detector в будущем, однако не поможет пользователям, чьи устройства уже были заражены Proton. После удаления вредоноса с компьютера эксперты рекомендуют пользователям сменить все учетные данные.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!